DSM 6.x und darunter Let's Encrpyt Zertifikat erneuern

[Fusion]

@rieders23 - ohne Details was du wie gemacht hast und welche URLs du im Browser aufrufst kann man das schwer sagen.
Die häufigste Ursache dürfte sein, dass die Namen im Zertifikat nicht mit der aufgerufenen URL im Browser übereinstimmen

 

[rieders23]

Hallo Fusion

Ich habe nur Sub-Domains wie zB. Test.Domain.com bei dem Zertifikat von Domain.com hinzugefügt.

Das sollte doch eigentlich gehen?

Grüße

 

[Fusion]

Wie gesagt, ohne Details ist die Antwort nur: Grundsätzlich ja.

 

[TACiboy]

Hallo zusammen,

in dem Zusammenhang möchte ich gerne eine neue Frage in den Raum werfen:

Wenn ich mehrere Synology-Apps über eine (Sub-)Domain verfügbar machen möchte, dann muss ich mich bei einem Applikationswechsel leider jedes Mal neu an der Synology anmelden. Beispiel:

AudioStation extern erreichbar über: musik.meine-domain.de
VideoStation extern erreichbar über: video.meine-domain.de

Wenn ich nun von AudioStation zur VideoStation wechsel (per Eingabe der entsprechenden URL), dann verliert Synology die Benutzersitzung und ich muss mich neu authentifizieren.
Dies ist jedoch NICHT der Fall, wenn ich, anstatt mit subdomains, mit URL-Pfaden arbeite, also z.B.: meine-domain.de/musik bzw. meine-domain.de/Video

Ich habe die Vermutung, dass dies an unterschiedlichen Zertifikaten liegt, da ich ja für jede Subdomain (musik.meine-domain.de und video.meine-domain.de) ein eigenes LetsEncrypt Zertifikat beantragt habe. Wenn ich jedoch über URL-Pfade komme, dann bekommt der Browser ja immer ein und dasselbe Zertifikat, nämlich das von der Haupt-Domain (meine-Domain.de)

Jetzt zu meiner Idee: Ich registriere genau ein Wildcard Zertifikat auf *.meine-domain.de und erreiche somit auch die unter den Subdomains hängenden Applikationen über musik.meine-domain.de bzw. video.meine-domain.de

Weiß jemand bzw. hat jemand von euch Erfahrungen damit gesammelt, wie es sich verhält, wenn ich anstelle von eigenen Zertifkaten per Subdomain mit einem einzigen Wildcard Zertifikat arbeite?

Bevor ich das Szenario ausprobiere möchte ich mich hier gerne mit Leidensgenossen austauschen bzw. wäre an euren Erfahrungen interessiert...

 

[Kurt-oe1kyw]

Kurz gesagt, geht nicht.
LE erlaubt keine Wildcards.
Ansonsten kann ich all deine Absätze mit JA beantworten, es ist genau so wie von dir beschrieben.

 

[Busta2]

Soll ich dazu den Beitrag in einen neuen Thread ziehen?

Gern!

Siehe hier zu fehlendem Layer 3 Routing (was mit dem USG doch auch gar nichts zu tun hat, das ist doch mehr ein Switch Thema?): https://community.ubnt.com/t5/UniFi...-Unifi-Switches-Layer-3-Routing/idi-p/1315246

 

[TACiboy]

Kurz gesagt, geht nicht.
LE erlaubt keine Wildcards.
Ansonsten kann ich all deine Absätze mit JA beantworten, es ist genau so wie von dir beschrieben.

Huch, ich dachte das ist seit kurzem möglich, siehe: https://www.heise.de/amp/meldung/Let-s-Encrypt-stellt-ab-sofort-Wildcard-Zertifikate-aus-3994552.html

 

[Fusion]

Was LE kann und was Synology davon umgesetzt hat sind zwei verschiedene Paar Schuhe

 

[rieders23]

Hallo

Ich habe jetzt mal 3 Bilder von meinen Einstellungen gemacht.
Ich hoffe das die Einstellungen so passen.
Muss ich für jede sub-Domain nun ein eigenes Zertifikat erstellen ?





Grüße
André

 

[Fusion]

@rieders23 - sieht soweit ok aus.
Für den Beispiel vhost braucht es jetzt eigentlich nur noch unter Systemsteuerung > Sicherheit > Zertifikate > Konfigurieren die Zuordnung, dass der Dienst/vhost umwelt.domain.de auch das Zertifikat in-domain.de benutzt (bei dem die Subdomain als Alternative name (SAN oder BAN bei Synology) eingetragen ist) und nicht das oberste Standard Zertifikat.

Aber jetzt sehe ich gerade das eigentliche Problem.
Alle Dienste für die das Zertifikat eingetragen ist zur Verwendung (unter Konfigurieren) stehen in der Ansicht unter 'Für'. Für jeden dieser Einträge muss auch ein Pendant unter 'Betreff Alternativer Namen' existieren.

Von daher muss nicht für jede subdomain ein Zertifikat erstellt werden, aber jede verwendete Subdomain muss in mindestens einem der Zertifikate als Haupt- oder Alternativer Name vorkommen und dem entsprechenden Dienst/vHost zugewiesen sein.

 

[rieders23]

Hallo

Ich habe das Versucht die Sub-Domain unter die Domain einzufügen.
Leider funktioniert das nicht so.

Ich habe daher mal versucht für jede Subdomain ein Zertifikat zu erstellen- da funktioniert das dann super.

Ist dann halt nur umständlich für jede Subdomain dann das Zertifikat zu erneuern.

Grüße
André

 

[Fusion]

Du hast doch in dem mittleren Zertifikat schon mindestens einen Alternativen Namen eingefügt.
garten.in-domain.de und in-domain.de
Wieso kannst du da nicht weiter hinzufügen (mit Komma-Trennung)?
Und die Zertifikate erneuern sich automatisch, außer man hat die Ports 80/443 nicht offen (was irgendwie sinnfrei ist, wenn die Seiten öffentlich erreichbar sein sollen).

 

[rieders23]

Ja das stimmt.
Wie kann ich da noch weitere hinzufügen ?
Oder geht das nur beim erstellen des Zertifikates.
Beim Bearbeiten habe ich keine Option gesehen um die Sub-Domian noch hinzu zu fügen.
Wenn ich unter konfigurieren dann eine Sub-Domain in die Zetifikat Dömain ändere steht die unter "FÜR" und nicht bei "Betreff alternativ Name".


Grüße
André

 

[Fusion]

Einfach neu, hinzufügen, ersetzen wählen...
Solange man das nicht zu oft macht, kein Problem.
Sollte sich halt vorher überlegen wie man die Zertifikate gruppiert, das man diese nicht so oft ändern muss in der 'Zusammenstellung'

Ja, aber solange dieser Domain-Name nicht bei Haupt- oder Alternativ-Namen aufgeführt ist, wirst du mindestens eine Namenswarnung beim Aufruf der Seite erhalten oder gar nicht zugreifen können (hsts)

 

[deltapapa]

Moin Moin,

ich bekomme meine LE Zertifikate einfach nicht erneuert.
Port 80/ 443 in der FB sind offen, die Firewall der DS habe ich abgestellt.
Ich habe alles versucht, was in diesem 18 Seitigen Thread steht: https://www.synology-forum.de/showt...ypt-Zertifikat-abgelaufen-wie-erneuern/page18

Wenn ich die Aufgabe mit dem Script durchlaufen lasse, bekomme ich diese Meldung:
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/FbH25D/cert.pem]
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/Gbze6G/cert.pem]
DEBUG: Issuer name of certificate. [Synology Inc.]->[/usr/syno/etc/certificate/_archive/K0rnNT/cert.pem]
DEBUG: certificate is not issued by Let's encrypt. [/usr/syno/etc/certificate/_archive/K0rnNT/cert.pem]
DEBUG: Issuer name of certificate. [Let's Encrypt]->[/usr/syno/etc/certificate/_archive/bvzsem/cert.pem]

Wenn ich versuch die Zertifikate händisch zu erneuern, kann ich nur eine archive Datei downloaden. Da weiß ich dann aber nicht, wie es damit weitergeht, weil nirgends beschrieben.
In 5 Tagen läuft das erste ab, und ich habe echt keinen Plan, wie ich das Zertifikat erneuert und neu herstellen kann.

Für mögliche Denkanstöße wäre ich sehr dankbar.

deltapapa

 

[Nanuk]

Ich schlag mich auch immer wieder damit rum.
Heute hab ich festgestellt, dass die Erneuerung über den Aufgabenplaner mit dem Befehl 'syno-letsencrypt renew-all -v' scheitert ("Not synology DDNS." - obwol ich DDNS abgeschaltet habe).
Dagegen funktioniert die manuelle Erneuerung des Zertifikats über die DSM-Oberfläche problemlos. Im Ressourcenmonitor sieht man aber dieselbe Prozedur laufen.
Ich kann auch nur rätseln und alle drei Monate wieder tätig werden. Zum Glück erninnert mich Let's Encrypt.
Gruß
Nanuk

 

[deltapapa]

Hi, aber wie genau machst du das manuell? Ich bekomme da nur einen Download einer Datei, und was mache ich dann mit der?

 

[Fusion]

Wenn du ein Archiv bekommst bist du irgendwo falsch abgebogen.
Der Weg via GUI zur Erneuerung ist rechts Klick auf das entsprechende Zertifikat und im Kontextmenü dann erneuern oder ähnlich wählen.

 

[c0smo]

Die eingetragene email muss auch mit der übereinstimmen, die für die Registrierung verwendet wurde. An diesem Detail habe ich mir mal fast ne Stunde die Zähne ausgebissen.

@Fusion
Das mit dem Punkt "erneuern" hat bei mir die Woche nicht funktioniert. Musste den anderen Punkt wählen.

 

[Nanuk]

Hi, aber wie genau machst du das manuell? Ich bekomme da nur einen Download einer Datei, und was mache ich dann mit der?

Einen Download einer archiv.zip-Datei gibt es nur, wenn man einen neuen CSR erstellt. In dem Archiv ist der private Schlüssel und ein Certificate Signing Request, mit dem man bei einem Zertifikatsdiensteanbieter das X.509-Zertifikat für den selbst generierten Schlüssel beantragen kann.

Wenn Du schon ein Zertifikat von LE hast, dann mit rechter Maustaste anklicken und "erneuern" wählen.